基于VLAN及ACL的一卡通网络安全

【摘 要】目前，校园“一卡通”管理系统在许多高校得到了应用。为了保证各校区之间数据传输的安全，在原来校园网基础上，又建成了校园“一卡通”专网局域网。而在局域网内部，存在许多支撑网络通信的必要的广播信息，如ARP、DHCP广播，这些广播流量会对网络资源造成一定浪费。本文主要阐述在局域网中采用VLAN技术来减小广播域，并在各VLAN之间访问建立ACL安全策略，提高网络性能及保证一卡通网络安全。

【关键词】局域网；一卡通；VLAN；ACL；网络安全

0.引用

交换机的产生，使得局域网交换转发数据能力高速提升，目前局域网主要依靠交换机来互连终端设备，形成交换式局域网。由于交换机对网络广播流量的透明传输模式，因此广播域也随之增大，从而容易造成广播风暴，网络性能快速下降。VLAN技术可以有效划分子网隔离广播，将广播数据隔离在各自广播域范围内，减少网络中广播流量。使用ACL技术对不同VLAN的数据进行过滤，充分保证了网络间的安全。VLAN和ACL技术充分体形了现代网络技术的特征：高速、灵活、安全、管理简便和扩展容易。是否具有VLAN和ACL功能成为衡量局域网性能的重要指标。

1.技术分析

1.1技术介绍

虚拟局域网VLAN技术是通过将局域网内的设备或者端口，根据用户需求逻辑的划分为许多相互隔离的网段，每个网段对应有VLAN编号，并且每个编号相同的VLAN具有一个完整物理局域网的所有功能。访问控制列表ACL是一个路由器的配置脚本，它根据通过路由器分组报头中的条件控制路由器是允许还是拒绝其通过。每当数据包经过有ACL的接口时，路由器将查找与数据包信息匹配的语句，从而决定数据转发还是丢弃。

1.2 技术实现

1.2.1 VLAN技术主要应用与交换机上，常见有以下几种配置方式：

（1）基于端口的划分。基于端口的划分为以交换机的端口为划分对象，通过管理手工方式对端口所属VLAN进行配置。该方式是目前最广泛使用实现方法。

（2）基于主机MAC地址的VLAN划分。该方式通过将某个MAC指定到固定VLAN，当主机接入根据MAC地址获取其所属VLAN。

（3）基于协议划分。该方式是根据当前网络所采用的协议（IP、IPX）来划分VLAN。目前主要以IP网络构建网络，该方式很少使用。

（4）基于子网的划分。该方式是根据主机三层网络地址来划分VLAN，需要附加检测三层地址，会造成一定的资源耗费。

1.2.2 ACL技术则主要使用在路由器上。目前的路由器一般都支持两种类型的访问表：标准访问控制列表和扩展访问控制列表。

（1）标准访问控制列表根据源地址进行匹配，路由器检查分组的源地址，并与标准访问控制列表进行比较和匹配，然后决定丢弃或转发。

（2）扩展访问控制列表可以基于分组的源地址、目标地址、协议类型、端口地址和应用来决定访问是被允许或者拒绝。

2.技术应用

本文通过构建一个简单实例对VLAN和ACL关联技术进行规划和实施。

实例描述：一卡通网络划分了三个VLAN，通过VLAN的配置，实现不同VLAN间的跨区域通信。

以Cisco设备配置命令为例：